Packet Tracer - Configure and Verify a Site-to-Site IPsec VPN Using CLI

Packet Tracer - 使用命令行界面配置和验证站点到站点IPsec VPN

地址表

目标

  • 验证整个网络的连通性。

  • 配置R1以支持与R3之间的站点到站点IPsec VPN。

背景/场景

网络拓扑图显示了三个路由器。您的任务是配置R1和R3,以便在各自局域网(LAN)之间的流量流动时支持站点到站点的IPsec VPN。IPsec VPN隧道从R1经由R2到达R3。R2充当通过设备,并不了解VPN的存在。IPsec提供了一种在不受保护的网络(如互联网)上安全传输敏感信息的方法。IPsec在网络层运行,负责保护并验证参与IPsec设备(对等体)之间的IP数据包,例如Cisco路由器。

ISAKMP阶段1策略参数

注意:加粗参数为默认值。只有非加粗参数需要明确配置。

IPsec阶段2策略参数

路由器已预先配置以下内容:

· 控制台线路密码:ciscoconpa55

· vty线路密码:ciscovtypa55

· 启用密码:ciscoenpa55

· SSH用户名和密码:SSHadmin / ciscosshpa55

· OSPF进程号101

第一部分:在R1上配置IPsec参数

步骤1:测试连通性。

从PC-A向PC-C发送ping请求。

步骤2:启用安全技术包。

a. 在R1上执行show version命令查看安全技术包许可证信息。

b. 如果未启用安全技术包,请使用以下命令启用该包。

R1(config)# license boot module c1900 technology-package securityk9

c. 接受最终用户许可协议。

d. 保存运行配置并重新加载路由器以启用安全许可证。

e. 使用show version命令验证是否已启用安全技术包。

步骤3:在R1上识别感兴趣流量。

配置ACL 110,将来自R1 LAN到R3 LAN的流量标识为"感兴趣"流量。当R1和R3之间的LAN之间存在流量时,这种感兴趣的流量会触发实施IPsec VPN。除了这些流量外,所有其他源自LAN的流量都不会被加密。由于存在隐式拒绝所有规则,因此无需配置deny ip any any语句。

R1(config)# access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

步骤4:在R1上配置IKE阶段1 ISAKMP策略。

在R1上配置crypto ISAKMP策略10 属性以及共享的crypto密钥vpnpa55。请参考ISAKMP阶段1表中特定的参数进行配置。默认值不需要配置,因此只需要配置加密方法、密钥交换方法和DH方法。

注:当前Packet Tracer支持的最大DH组是组5。在生产网络中,您至少应配置DH 14。

R1(config)# crypto isakmp policy 10

R1(config-isakmp)# encryption aes 256

R1(config-isakmp)# authentication pre-share

R1(config-isakmp)# group 5

R1(config-isakmp)# exit

R1(config)# crypto isakmp key vpnpa55 address 10.2.2.2

步骤5:在R1上配置IKE阶段2 IPsec策略。

a. 创建名为VPN-SET的转换集,使用esp-aesesp-sha-hmac

R1(config)# crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac

b. 创建名为VPN-MAP的crypto映射,将所有阶段2参数绑定在一起。使用序列号10,并将其标识为ipsec-isakmp映射。

R1(config)# crypto map VPN-MAP 10 ipsec-isakmp

R1(config-crypto-map)# description VPN connection to R3

R1(config-crypto-map)# set peer 10.2.2.2

R1(config-crypto-map)# set transform-set VPN-SET

R1(config-crypto-map)# match address 110

R1(config-crypto-map)# exit

步骤6:配置接口上的crypto映射。

将VPN-MAP crypto映射绑定到Serial 0/0/0出站接口。

R1(config)# interface s0/0/0

R1(config-if)# crypto map VPN-MAP

第二部分:在R3上配置IPsec参数

步骤1:启用安全技术包。

a. 在R3上执行show version命令以验证是否已启用安全技术包许可证信息。

b. 如果尚未启用安全技术包,则启用该包并重新加载R3。

步骤2:配置路由器R3以支持与R1的站点到站点VPN。

在R3上配置相应的参数。配置ACL 110,将来自R3 LAN到R1 LAN的流量标识为"感兴趣"流量。

R3(config)# access-list 110 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

步骤3:在R3上配置IKE阶段1 ISAKMP属性。

在R3上配置crypto ISAKMP策略10 属性以及共享的crypto密钥vpnpa55

R3(config)# crypto isakmp policy 10

R3(config-isakmp)# encryption aes 256

R3(config-isakmp)# authentication pre-share

R3(config-isakmp)# group 5

R3(config-isakmp)# exit

R3(config)# crypto isakmp key vpnpa55 address 10.1.1.2

步骤4:在R3上配置IKE阶段2 IPsec策略。

a. 创建名为VPN-SET的转换集,使用esp-aesesp-sha-hmac

R3(config)# crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac

b. 创建名为VPN-MAP的crypto映射,将所有阶段2参数绑定在一起。使用序列号10,并将其标识为ipsec-isakmp映射。

R3(config)# crypto map VPN-MAP 10 ipsec-isakmp

R3(config-crypto-map)# description VPN connection to R1

R3(config-crypto-map)# set peer 10.1.1.2

R3(config-crypto-map)# set transform-set VPN-SET

R3(config-crypto-map)# match address 110

R3(config-crypto-map)# exit

步骤5:配置接口上的crypto映射。

将VPN-MAP crypto映射绑定到Serial 0/0/1出站接口(注意:此操作不会被评估)。

R3(config)# interface s0/0/1

R3(config-if)# crypto map VPN-MAP

第三部分:验证IPsec VPN

步骤1:在出现感兴趣流量之前验证隧道。

在R1上执行show crypto ipsec sa命令。注意封装、加密、解封装和解密的包数量均设置为0

步骤2:创建感兴趣流量。

从PC-A向PC-C发送ping请求。

步骤3:在产生感兴趣流量后验证隧道。

在R1上重新执行show crypto ipsec sa命令。注意包的数量大于0,这表明IPsec VPN隧道正在工作。

步骤4:创建非感兴趣流量。

从PC-A向PC-B发送ping请求。注:从路由器R1向PC-C或R3向PC-A发送ping请求不属于感兴趣流量。

步骤5:再次验证隧道。

在R1上重新执行show crypto ipsec sa命令。注意包的数量没有改变,这证实了非感兴趣流量并未被加密。

步骤6:检查结果。

您的完成百分比应为100%。点击"Check Results"查看反馈信息以及已完成的必要组件验证。

实验脚本:

R1:

bash 复制代码
crypto isakmp policy 10
 encr aes 256
 authentication pre-share
 group 5
 
crypto isakmp key vpnpa55 address 10.2.2.2

crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac

access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

crypto map VPN-MAP 10 ipsec-isakmp 
 description VPN connection to R3
 set peer 10.2.2.2
 set transform-set VPN-SET 
 match address 110

interface Serial0/0/0
 crypto map VPN-MAP

R3:

bash 复制代码
crypto isakmp policy 10
 encr aes 256
 authentication pre-share
 group 5

crypto isakmp key vpnpa55 address 10.1.1.2

crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac

access-list 110 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

crypto map VPN-MAP 10 ipsec-isakmp 
 description VPN connection to R1
 set peer 10.1.1.2
 set transform-set VPN-SET 
 match address 110

interface Serial0/0/1
 crypto map VPN-MAP
相关推荐
黑客Ash30 分钟前
【D01】网络安全概论
网络·安全·web安全·php
->yjy31 分钟前
计算机网络(第一章)
网络·计算机网络·php
sinat_3842410933 分钟前
使用 npm 安装 Electron 作为开发依赖
服务器
朝九晚五ฺ1 小时前
【Linux探索学习】第十四弹——进程优先级:深入理解操作系统中的进程优先级
linux·运维·学习
摘星星ʕ•̫͡•ʔ2 小时前
计算机网络 第三章:数据链路层(关于争用期的超详细内容)
网络·计算机网络
Kkooe2 小时前
GitLab|数据迁移
运维·服务器·git
.Ayang2 小时前
SSRF漏洞利用
网络·安全·web安全·网络安全·系统安全·网络攻击模型·安全架构
.Ayang2 小时前
SSRF 漏洞全解析(概述、攻击流程、危害、挖掘与相关函数)
安全·web安全·网络安全·系统安全·网络攻击模型·安全威胁分析·安全架构
久醉不在酒2 小时前
MySQL数据库运维及集群搭建
运维·数据库·mysql